认证跳转问题之百度访问慢

一、       问题现象

1.      主要是访问百度（www.baidu.com）时，某公司设备进行认证，认证完成反馈给PC进行百度的重新访问，在“访问---认证----访问”这个过程中花费的时间大约要20多秒。访问效果不理想，但针对新浪、腾讯其它网页的访问认证就没有这种现象的出现。

2.      在同样的设备与策略下，现象的出现并不是全部电脑，而是部分电脑。WIN8+IE10的电脑问题出现的比较集中，但也只是一小部分，其它的系统与IE并没有出现现象。

二、       处理跟踪

1.      前期排查

针对目前的现象，主要做了以下排查的措施：

1.1  使用HttpWatch对慢的PC进行“访问---认证---访问”过程的交换数据查看与统计使用时长，并对比没有出现慢的PC进行“访问---认证---访问”过程的交换数据查看与统计使用时长，同时也查看新浪其它网页的数据与时长。

1.2  通过后台进行对慢的PC“访问---认证---访问”访问百度过程抓包分析，一样也对比没有出现慢的PC访问百度过程的数据包。为保证更好的对比数据，同样也抓取了新浪访问过程的数据包。

2.      后期处理

通过对比数据了解，发现当慢的PC去访问百度时，认证成功后，某公司设备反馈给PC重新访问百度时。而此时PC主动向百度发起GET动作，而不是发起TCP三次握手。对于电脑的主动行为，某公司设备的处理流程只要是认证通过后将会对数据进行转发，但这样对于百度的服务器响应处理却是无法处理的，所以百度服务器不会响应回复数据给到PC。对于已经认证过的用户，数据就正常的进行TCP交互。

针对以上的现象原理，做了以下策略进行处理：

l  增加一个根组策略开放DNS和HTTP应用全部，阻止所有。将策略仅应用到根组下

l  在其它认证选项中勾选“未通过认证用户可以访问基本服务（根组权限，HTTP除外）”

附加这些条件后，百度与其它访问都正常并达到访问的效果。

三、       处理总结

对于“未通过认证用户可以访问基本服务（根组权限，HTTP除外）”，勾选此根组权限后，未认证的用户除了不能访问HTTP服务外，其他服务都能访问（注意：末认证的用户都是归类到根组权限下，当认证后就会分配到那个组就是那个策略权限。并且使用密码认证需要勾选这个功能。而基本服务可以认为是除HTTP服务的正常网络应用服务）,对此勾选根组权限功能将会影响其它功能可以访问（例如可以访问FTP,其它应用服务下载等等）；

所以在根组下添加了一条放通HTTP与DNS服务，禁止其它服务，对此条的意义就是拒绝了DNS服务以外的所有，这样才能达到效果，未认证的用户无法使用其它服务，保证其它策略的正常应用。而对于此条禁止策略，是针对未认证的用户，认证通过后这条策略将会失效，认证后的用户就应用到其它策略（如分组或个人策略）。当然要是未认证的用户除了HTTP服务其它不限制的话，可以不使用此条禁止策略。

写得很详细，谢谢分享~~~

大家好，初来乍到，嘿嘿！